谷歌现在将向安全研究人员支付费用,以查找和报告谷歌发布的最新版本的开源软件 (Google OSS) 中的错误。
该公司新宣布的漏洞奖励计划 (VRP) 侧重于 Google 软件和存储库设置(如 GitHub 操作、应用程序配置和访问控制规则)。
它适用于 Google 拥有的 GitHub 组织的公共存储库以及其他平台的一些存储库中可用的软件。
Google OSS 第三方依赖项中的安全漏洞在此程序的范围内,条件是首先将错误报告发送给易受攻击的包的所有者,因此在将发现结果通知 Google 之前,这些问题会在上游得到解决。
“最高奖项将颁发给在最敏感项目中发现的漏洞:Bazel、Angular、Golang、Protocol buffers 和 Fuchsia,”谷歌今天表示。
Google 的 OSS VRP 关注点是会对软件供应链产生最重大影响的安全漏洞。
因此,该公司鼓励漏洞赏金猎人关注可能导致供应链受损的漏洞、导致产品漏洞的设计问题以及凭据泄露、弱密码或不安全安装等安全问题。
根据报告的缺陷的严重程度和项目的重要性,最终奖励从 100 美元到 31,337 美元不等。
较大的奖励金额将用于特别有趣和不寻常的安全漏洞,最高 1,000 美元的小额奖金也适用于最有趣和最聪明的错误。
类别 旗舰OSS项目 标准 OSS 项目
供应链妥协 3,133.7 美元 – 31,337 美元 1,337 美元 – 13,337 美元
产品漏洞 $500 – $7,500 101 美元 – 3,133.7 美元
其他安全问题 1,000 美元 500 美元
“在您开始之前,请查看计划规则以获取有关范围外项目和漏洞的更多信息,然后进行黑客攻击并让我们知道您发现了什么。如果您提交的内容特别不寻常,我们会与您联系并与您合作直接用于分类和响应,”谷歌说。
“除了奖励,你的贡献可以得到公众的认可。你也可以选择将你的奖励以原始金额的两倍捐赠给慈善机构。”
2 月,谷歌还 使用独特的利用技术将 Linux Kernel、Kubernetes、Google Kubernetes Engine (GKE) 或 kCTF 零日漏洞和漏洞利用的奖励几乎翻了一番。
两个月后,也就是 4 月,该公司宣布通过其 VRP 报告的 Android 13 Beta 错误将在标准奖励的基础上获得 50% 的奖金,直到 2022 年 5 月 26 日,完整远程代码执行漏洞的最高支付为 150 万美元在运行 Android 13 Beta 版本的 Pixel 手机中使用的 Titan M 上的链。
自2010年推出首个 VRP 以来 ,Google 已向来自超过 84 个国家/地区的数千名安全研究人员报告了超过 13,000 个错误,奖励了超过 3800 万美元。
2021 年,它获得 了创纪录的 8,700,000 美元,其中包括为 Android 漏洞利用链支付的 157,000 美元,这是 Android VRP 历史上最高的。
